e-mail:
(044) 239-21-47
УКРРУС
Головна / Статті / Актуальні питання з захисту персональних даних та практичного застосування Закону України «Про захист персональних даних».

Актуальные вопросы защиты персональных данных и практического применения Закона Украины «О защите персональных данных»

Актуальные вопросы защиты персональных данных и практического применения Закона Украины «О защите персональных данных»

22 июля 2014

Актуальные вопросы защиты персональных данных и практического применения Закона Украины «О защите персональных данных»

Прежде всего необходимо четко осознавать смысл понятия «персональные данные».

К персональным данным, то есть к фактам, событиям и обстоятельств частной жизни человека, позволяющие идентифицировать его личность, можно отнести следующие сведения:

  • о содержании семейной жизни; 
  • об актах гражданского состояния; 
  • о переписке и телефонные переговоры; 
  • о почтовые, телеграфные, электронные и иные сообщения; 
  • о партийной принадлежности; 
  • о вероисповедании; 
  • о социальном происхождении человека, его расовую, национальную и языковую принадлежность; 
  • о врачебной, адвокатской, нотариальной, страховую, банковскую, коммерческую и другие виды тайн, сформировавшиеся в жизнедеятельности гражданина, и которые касаются непосредственно его. 

Законодательство Украины в сфере защиты персональных данных на сегодня еще не в полной мере соответствует требованиям положений европейских стандартов, а именно Конвенции Совета Европы «О защите лиц в связи с автоматизированной обработкой персональных данных» № 108 и Директивы Европейского парламента и Совета Европейского Союза «О защите лиц в связи с обработкой персональных данных и свободным обращением этих данных »от 24.10.1995 г. 95/46/ЕС.

Конвенция № 108 исходит из того, что права и интересы личности в условиях применения новейших информационных технологий, компьютерных и телекоммуникационных средств могут быть затронуты в результате несанкционированного сбора, обработки, хранения и распространения персональных данных ей в ущерб, благодаря этому, сведя на нет ее природные, жизненные права, является основой свободы, всеобщей справедливости и мира. Указанные права следует защищать властью закона.

Согласно Директиве 95/46/ЕС и Совета от 24.10.1995 г. персональные данные означают любую информацию, касающуюся установленной физического лица или физического лица, которое можно установить. Лицо, которую можно установить прямо или косвенно, в частности посредством идентификационного кода или одного или более факторов, присущих физическим, физиологическим, умственным, экономическим, культурным или социальным защитам его личности.

В настоящее время отношения, связанные с защитой информации о лице (персональные данные), урегулирован в действующем законодательстве Украины, в частности Конституцией Украины (1996), Законом Украины «Об информации» (1992), Законом Украины «О защите персональных данных» (2010 ), Законом Украины «Об обращениях граждан», Законом Украины «о защите информации в автоматизированных системах» (1994), Положением о технической защите информации, утвержденным Указом Президента Украины от 27.09.1999 г. № 1229/99 и рядом других нормативно-правовых актов.

Согласно ст. 32 Основного Закона Украины, не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

1. Правовые основы защиты персональных данных.

В 2005 году Украина ратифицировала Конвенцию 1981 Совета Европы № 108 «О защите лиц в связи с автоматизированной обработкой персональных данных». Среди основных обязательств государства по данной Конвенции также принятие нормативно-правовых актов, которые должны способствовать защите персональных данных. В связи с этим Верховная Рада Украины 01.06.2010 года был принят Закон Украины «О защите персональных данных».

Настоящий Закон регулирует правовые отношения, связанные с защитой и обработкой персональных данных, и направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных.

Сфера действия закона распространяется на деятельность по обработке персональных данных, осуществляемой полностью или частично с применением автоматизированных средств, а также на обработку персональных данных, содержащихся в картотеке или подлежащих внесению в картотеки, с применением неавтоматизированных средств.

Целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями независимо от форм собственности требований Закона Украины «О защите персональных данных» Верховной Радой Украины:

принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года;
внесены изменения в Кодекс Украины об административных правонарушениях.

2. Обеспечение защиты персональных данных в информационной (автоматизированной) системе.

Владелец базы персональных данных должен создать условия для защиты в информационной (автоматизированной) системе персональных данных и обеспечить защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним.

Условия для защиты персональных данных зависят от конкретных реальных угроз, природы персональных данных, которые обрабатываются, технологии обработки информации и типа информационной системы, в рамках которой обрабатываются персональные данные.

Обеспечение условий для защиты в информационной (автоматизированной) системе персональных данных не решается реализацией определенной совокупности мероприятий, а является постоянным процессом, который включает:

  • разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий по обработке персональных данных с учетом серьезности последствий таких нежелательных событий. Политика защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним должна быть согласована с общей политикой информационной безопасности организации и с контекстом стратегического управления рисками организации; 
  • внедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечение функционирования мероприятий, процессов и процедур защиты персональных данных; 
  • оценки и, по возможности, измерения производительности процессов защиты персональных данных в соответствии с принятой политикой, целями и практическим опытом, подготовка предложений по корректирующих мероприятий; 
  • принятие корректирующих и предупреждающих действий по защите персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное совершенствование мер.

В случае, когда обработка персональных данных осуществляется в информационной (автоматизированной) системе, то создается комплексная система защиты информации в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденных Постановлением Кабинета Министров Украины от 29 марта 2006 г. N 373 .

Комплексная система защиты информации обеспечивает защиту персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с планом защиты информации в системе, который содержит:

  • задачи защиты персональной информации, классификацию персональной информации, описание особенностей технологии обработки информации; 
  • модель угроз для персональных данных в системе; 
  • требования по защите персональных данных и правила доступа к ним; 
  • перечень документов, согласно которым осуществляется защита информации в информационной системе.

Для защиты персональных данных важно, чтобы организационные мероприятия и используемые средства защиты, определяющие уровень защиты, соответствовали реальным конкретным угрозам, данным, которые обрабатываются и процессам обработки данных, которые выполняются. Должны приниматься во внимание возможные риски нежелательных событий и серьезность последствий таких нежелательных событий. Чем выше риски, тем более строгие меры защиты должны быть реализованы.

Если обработка персональных данных осуществляется в информационной (автоматизированной) системе, в которой создается комплексная система защиты информации, оценка рисков нежелательных событий для персональных данных, обрабатываемых в автоматизированной системе, является составной частью оценки рисков в соответствии с рекомендациями по нормативному документу НД ТЗИ 1.1-002-99 "Общие положения по защите информации в компьютерных системах от несанкционированного доступа".

К основным факторам, которые влияют на уровень защиты, требуется, относятся:

  • внимание, которое уделяется обществом к обрабатываемых данных; 
  • уровень осведомленности персонала владельца и / или распорядителя базы персональных данных по информационной безопасности, защиты персональных данных, уважения к авторским правам и т.д.. 
  • тип информационно-телекоммуникационной системы, в рамках которой обрабатываются персональные данные.

3. Создание условий работы с персональными данными на предприятии.

С момента принятия Закона Украины «О внесении изменений в некоторые законодательные акты Украины усиления ответственности за нарушение законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 нормы Закона Украины «О защите персональных данных» перестают быть чисто декларативными, а превращаются в действенный правовой инструмент в руках государства так как нарушение законодательства в сфере защиты персональных данных влечет за собой административную или уголовную ответственность.

Во исполнение требований Закона Украины «О защите персональных данных» и с целью недопущения правонарушений в сфере защиты персональных данных на предприятии необходимо создать систему управления персональными данными, которая объединит организационные и технические мероприятия по созданию условий работы с персональными данными.

На этапе создания системы управления персональными данными на предприятии необходимо осуществить следующие организационные мероприятия:

  • определить цель обработки и состав персональных данных в базе персональных данных. Как правило, на предприятии может быть три базы персональных данных - база работников, база контрагентов (клиентов), база учредителей, 
  • разработать и утвердить Порядок обработки персональных данных в базах персональных данных предприятия, 
  • назначить отдельное лицо или структурное подразделение, ответственное за сведения, содержащие персональные данные, которые обеспечат создание и функционирование на предприятии комплексной системы защиты информации в информационной (автоматизированной) системе от незаконной обработки и незаконного доступа, а также контроль за выполнением требований законодательства по защите персональных данных, 
  • провести регистрацию баз персональных данных, которые функционируют на предприятии, в Государственном реестре баз персональных данных по процедуре, что определяется Государственной службой по вопросам защиты персональных данных, 
  • обеспечить оформление письменного согласия субъектов персональных данных на обработку их персональных данных в базах персональных данных предприятия в случае создания условий по защите информации, 
  • обеспечить оформление письменного обязательства работников предприятия не допускать разглашения персональных данных, которые им доверено или которые стали им известны в связи исполнением профессиональных и трудовых отношений, 
  • создать комплексную систему защиты информации, которая обеспечивает защиту персональных данных в информационной (автоматизированной) системе, 
  • разработать и утвердить необходимые положения, инструкции и другие распорядительные документы, в соответствии с которыми будет обеспечиваться защита персональных данных в базах персональных данных предприятия.

Создание комплексной системы защиты информации, которая обеспечит защиту персональных данных в информационной (автоматизированной) системе от незаконной обработки, а также от незаконного доступа к ним осуществляется в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденных Постановлением Кабинета Министров Украины от 29 марта 2006 г. N 373 и других нормативно-законодательных документов Украины в сфере технической защиты информации.

4. Ответственность за нарушение законодательства о защите персональных данных.

С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями независимо от форм собственности требований Закона Украины «О защите персональных данных» Верховной Радой Украины 2 июня 2011 принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных »№ 3454-VI, которым внесены изменения в Кодексе Украины об административных правонарушениях.

С 1 июля 2012 за нарушения в сфере защиты персональных данных на граждан, должностных лиц, граждан - субъектов предпринимательской деятельности налагается административная ответственность.

Административная ответственность граждан, должностных лиц, граждан - субъектов предпринимательской деятельности может наступать за следующие виды деяний:

  • неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лиц, которым эти данные передаются, влечет за собой наложение штрафа от 3400 до 6800 грн.; 
  • неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных, влечет наложение штрафа от 1700 до 6800 грн.; 
  • уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа от 5100 до 17000 грн.; 
  • несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним, влечет за собой наложение штрафа от 5100 до 17000 грн.

Чтобы обезопасить Вас от этого мы, имея многолетний опыт организации работы с информацией с ограниченным доступом, предлагаем Вам комплексные решения по организации защиты персональных данных на предприятиях, организациях, учреждениях. Она позволит Вам самостоятельно создать условия для обработки персональных данных, систему управления персональными данными на Вашем предприятии.